مقدمه
اجازه بدهید با مقدمهای کوتاه مبحث مبانی هک را شروع کنیم. امروزه با پیشرفت انواع تکنولوژیها، از جمله تکنولوژی ارتباطات، احتمال نفوذ به سیستمهای مختلف هم افزایش پیدا کرده است. به طور معمول تقریبا هر انسان بالغ یک گوشی یا سیستم برای خود دارد، که میتواند حاوی اطلاعات مهمی باشد. مدام با آن از طریق اینترنت و سایر پیامرسانهای اینترنتی در تبادل است و تنها تدبیر امنیتیاش هم گذاشتن پسورد میباشد.
در مراکز، ادارات و شرکتهای بزرگ که به شاهراههای اینترنتی متصل هستند، هر لحظه امکان شکستن دیوار امنیتیشان وجود دارد که به آن هک شدن میگویند. در ادامه پست مبانی هک با این واژه بیشتر آشنا خواهیم شد.
هک چیست؟
در حالت کلی هک کردن به عملی گفته میشود که طی آن فردی که خود را هکر میداند به صورت قانونی و یا غیر قانونی، سیستم امنیتی شخص یا سازمانی را که معمولا با پسورد است را میشکند و به سیستم مورد نظر نفوذ میکند. این نفوذ میتواند صدمات جبرانناپذیری به صاحب سیستم وارد کند، از جمله مهمترین آنها دسترسی به اطلاعات محرمانه و حیاتی است.
معمولا هکرها تخصص بالایی در حوزه رایانه، شبکه و برنامهنویسی دارند. با مهارتهای خاص خود راههای نفوذ و آسیبپذیری سیستمهای مربوطه را شناسایی کرده و آنها را مورد هک قرار میدهند.
تاریخچه هک
در طول تاریخ و شاید از ابتدای پیدایش نسل انسان همیشه افرادی سارق و نفوذگر وجود داشتهاند، که به قصد دزدی از اموال و دارایی افراد با نیات مختلف وارد عمل میشدند. اما واژه دقیق هک از حدود سال ۱۹۷۰ تا ۱۹۸۰ به کار گرفته شد، وقتی که برای اولین بار در یک مجله روانشناسی از واژه هکر استفاده کردند و به اعتیادآور بودن کامپیوترها اشاره کرده بودند.
بعدها در سال ۱۹۸۲، همانطوریکه منشاء بسیاری از واقعیات ریشه در تخیلات دارد، در یک فیلم تخیلی با نام “Tron” که نقش اول فیلم قصد داشت سیستم کامپیوتری یک سازمان را هک کند، این جرقه در ذهن افراد ایجاد شد که چرا در واقعیت این کار انجام نشود؟
در سال ۱۹۸۳ فیلم دیگری با نام “WarGames” ساخته شد که در آن یک نوجوان قصد نفوذ به سازمان فضایی آمریکا را دارد. در واقع این فیلمها بودند که انسانها را برای انجام این کار تحریک کردند. از آن سال به بعد گروههای فراوانی در سراسر دنیا شکل گرفتند که شروع به هک کردن سازمانها، مراکز و شرکتهای بزرگ و مهم کردند. در همان سالها هم بود که به دنبال خسارتهای ناشی از هک شدن، قوانین و مقرراتی برای هک ایجاد شد و بسیاری از افراد دستگیر و مجازات شدند.
.هرچند همه این هکها هم مخرب نبود و در بین آنها میتوان به مواردی هم اشاره کرد که هکرها به کمک سازمانها و دولتها آمدهاند
حال که با مختصری از تاریخچه هک آشنا شدیم با هم به ادامه مبانی هک میپردازیم ولی قبل از هرچیز لازم است در مورد اصول شبکه و مباحث مرتبط با آن اطلاعات کافی داشته باشید. برای آشنایی با اصول شبکه نیز می توانید از مجموعه آموزش شبکه های کامپیوتری فرادرس استفاده کنید.
اهداف هک
افراد یا گروههایی که به دنبال هک هستند معمولا یکی از اهداف زیر را دارند:
روش های هک پسورد
در ادامه بحث مبانی هک لازم است به اهمیت شناخت روشهای هک اشاره کنیم تا به مقابله با آنها بپردازیم. اصلیترین و مهمترین هدف هک، دستیابی به پسورد است. امروزه اکثر فعالیتهای تجاری و اقتصادی افراد به سیستمهای کامپیوتری گره خورده است، دیگر کمتر کسی را، اعماز بیسواد و باسواد میتوان یافت که عملیات بانکی و کارهای ادارای خود را با اینترنت انجام ندهد و یا حتی در رمز ارزها سرمایهگذاری نکرده باشد.
معمولا این افراد با پسوردهای ساده و رایج وارد این معاملات و فضاهای اینترنتی میشوند، پس این حیطهها سوژه خوبی برای هکرهای فعال به شمار میروند. روشهای رایج هک عبارتانداز:
۱. هک بر پایه دیکشنری (Dictionary Hack)
رایجترین و سریعترین روشِ هکِ پسورد در مبحث مبانی هک، هک بر پایه دیکشنری است. در این روش یک فایل کم حجم حاوی میلیونها پسورد وجود دارد که به صورت خودکار میتواند لیست بلندی از پسوردها را در اختیار هکر قرار دهد تا در نهایت پسورد اصلی شناسایی شود. معمولاٌ اکثر مردم برای سهولت در به خاطر سپردن پسوردها از اعداد و کلمات رایج استفاده میکنند که همه آنها در این دیکشنری درج شده است.
در جدول زیر ۲۰ پسورد رایج سال ۲۰۲۰ آورده شده است:
پس باید توجه داشته باشیم که از پسوردهای ساده استفاده نکنیم. معمولاً پیشنهاد میشود پسورد ترکیبی از حروف کوچک و بزرگ، اعداد و کاراکترها و نشانهها باشد.
۲. حملات جستجوی فراگیر (Brute Force)
دومین روش از مبانی هک، روش جستجوی فراگیر است. در این روش هکر تمامی پسوردهای ممکن را امتحان میکند تا به سیستم نفوذ کند و این امر فرآیند جستجو را بسیار زمانگیر میکند. در این روش هکر تمام اطلاعات مربوط به شما را به عنوان پسورد امتحان میکند از تاریخ تولد و نام خودتان تا فرزندان و همسرتان گرفته تا شماره تلفنها و کد ملیهایتان. پس همیشه سعی کنید پسوردهای پیچیده و ترکیبی انتخاب کنید.
۳. فیشینگ (Phishing)
روش فیشینگ از روشهای هک کردن به شمار نمیرود ولی در آخر باعث هک شدن سیستم مورد نظر میشود. به این ترتیب که میلیاردها پیام به ایمیلهای مختلفی در سراسر دنیا برای افراد و شرکتها و سازمانهای گوناگون ارسال میشود.
مراحلی که طی آن ایمیل فیشینگ سیستم مورد نظر را هک میکند به صورت زیر است:
- به فرد یا سیستمی که میخواهند آن را هک کنند، یک ایمیل جعلی فرستاده میشود. ظاهر آن به گونهای است که فرد تصور میکند، این ایمیل از طرف یک سازمان یا کسب و کار میباشد.
- معمولا در این ایمیل با قرار دادن کلمههای فوری و غیره توجه کاربران بلافاصله جلب شده و آن را باز میکنند.
- داخل این ایمیلها لینکی وجود دارد که کاربر را به یک سایت جعلی که کاملا مشابه سایت مورد نظر اوست میبرد.
- کاربر بدون اینکه از این جریانات اطلاعی داشته باشد نام کاربری و پسورد خود را وارد میکند، در این لحظه یا به سایت دیگری منتقل میشود و یا یک پیام بیمورد به او نشان داده میشود. حال آنکه در این لحظه پسورد کاربر هک شده است.
- در نهایت فردی یا سازمانی که این اطلاعات را به سرقت میبرد یا آنها را میفروشد و یا از آنها سوءاستفاده میکند.
از آوریل سال ۲۰۲۰ که ویروس کرونا در جهان شروع به انتشار کرد، بهانه و فرصتی طلایی برای این افراد به دست آمد تا با ارسال ایمیلهای جعلی با عنوان سازمان بهداشت جهانی و یا سایر مراکز بهداشتی و درمانی به اهداف شوم خود برسند. گوگل تعداد این ایمیلهای فیشینگ را از آوریل ۲۰۲۰ روزانه به طور معمول تا ۱۸ میلیون ایمیل ثبت کرده است.
۴. مهندسی اجتماعی (Social Engineering)
چهارمین روش هک از مبحث مبانی هک، مهندسی اجتماعی است. این روش تقریبا همان روش فیشینگ است با این تفاوت که این روش در دنیای واقعی انجام میپذیرد یعنی شخص یا اشخاصی به طور مستقیم با فریب افراد به پسورد آنها دسترسی پیدا کرده و به سیستم آنها نفوذ میکنند.
اجازه بدهید مثالی بزنیم ، فرض کنید طرحی برای ثبت نام در یک قرعه کشی یا خرید خودرو و یا مسکن وجود دارد و فردی از شما میخواهد که پسورد خود را به او بدهید تا او شما را ثبت نام کند و یا برای خدمات پشتیبانی اینترنتی با شما تماس میگیرند و از شما پسوردتان را میخواهند تا سیستمتان را ارتقا دهند. در همه این موارد شما ندانسته ولی از روی اختیار پسورد خود را در اختیار مهندسین اجتماعی قرار میدهید و آنها به راحتی میتوانند شما را هک کرده و سوءاستفاده مالی و اطلاعاتی کنند.
این روش معمولا توسط هکرهای بسیار حرفهای مورد استفاده قرار میگیرد.
۵. جدول رنگین کمانی (Rainbow Table)
فرض میکنیم یک هکر مجموعهای از پسوردها را به دست آورده است و میخواهد وارد سیستم قربانی شود. اما در عین ناباوری میبیند این پسوردها رمزنگاری شدهاند یعنی درواقع این گذرواژهها همان کدهای هش (Hash) شده هستند که با پسورد واقعی تفاوت دارند. مثلا فرض کنیم پسورد واقعی من “rezvan64” باشد که در این صورت کد هش شده آن برابر است با:9752f11e8f9c842143cf5d8730e09acc.
این عبارت ممکن است برای کاربران معمولی پیچیده و گنگ به نظر برسد اما برای هکرها اینگونه نیست. هکرها این نوع پسوردها را میشناسند و وقتی مجموعهای از این نوع گذرواژهها را به دست آوردند آنها را با استفاده از الگوریتمهای متناظر به شکل واقعی خودشان تبدیل کرده و در جدولی جمع میکنند. به این نوع از جدولها، جداول رنگین کمانی گفته میشود. مثلا هکر با استفاده از این جدول دقیقا میتواند بگوید که کد 9752f11e8f9c842143cf5d8730e09acc مربوط به “rezvan64” است.
۶. بدافزار یا کلیدنگارها (Keylogger)
در این بخش از مبانی هک به تعریف بدافزار میپردازیم. در حالت کلی بدافزارها برنامههای مخربی هستند که به سیستمهایی با امنیت ضعیف نفوذ میکنند و از طریق شبکه به همه سیستمها منتقل شده و آنها را نیز تخریب میکنند. بدافزارها از روشهای مختلفی مثل فلش مموریها، دانلود فایلها از طریق اینترنت و غیره سیستمها را آلوده میکنند. دسترسی به همه حسابهای کاربری، سرقت اطلاعات و به دست گرفتن کنترل سیستم، از آسیبهایی است که بدافزارها به سیستمها وارد میکنند.
بهترین راه مقابله با بدافزارها استفاده از آنتی ویروسهای قدرتمند و آپدیت کردن مداوم آنها میباشد.
۷. روش Spidering
در ادامه بحث مبانی هک به روش Spidering میرسیم. وقتی هکری میخواهد یک سازمان و یا سیستم را مورد حمله قرار دهد، ابتدا یکسری پسوردهای مرتبط با آن کسب و کار و سازمان را امتحان میکند، تا اینجای کار شبیه حمله دیکشنری در قسمت اول عمل میکند. اگر در طبیعت دقت کنیم متوجه خواهیم شد که عنکبوتها برای رفتن به هر قسمت تار میزنند، در موتورهای جستجو به روش عنکبوتی هم همینطور است، نرمافزاری که جستجو از یک لینک به لینک دیگر را با استفاده از یک الگوریتم مشخص و هدفدار انجام میدهد.
از سایتی به سایت دیگر میرود و در نهایت لیستی از نتیجه این جستجوهای ایندکس گذاری شده ارائه میدهد. در آخر هم از این فهرست برای یافتن اکانت و پسورد استفاده میشود. یعنی وقتی هکر یکسری اطلاعات مرتبط با سازمان و کسبوکاری را پیدا میکند با استفاده از روش Spidering، لیستی از پسوردها را تهیه میکند و با استفاده از آنها سعی میکند به سیستمها وارد شود.
۸. نگاه از پشت (Shoulder Surfing)
آخرین مورد از روشهای هک در مبحث مبانی هک، نگاه از پشت است. درواقع سادهترین نوع هک هم همین نگاه از پشت است. فرض کنید در جایی مثل یک سالن انتظار یا رستوران نشستهاید و اصلاٌ حواستان به اطرافیان و کسانی که شما را زیر نظر دارند نیست. با گوشی خود مدام وارد قسمتهای مختلف میشوید، حسابهای کاربریتان را چک کرده و پسوردتان را وارد میکنید و شاید این کار را چندین بار تکرار نمایید. در این بین اگر کسانی به کارهای شما و صفحه گوشیتان دید داشته باشند به راحتی میتوانند به پسورد و گذرواژه شما دسترسی پیدا کرده و بعدها از آن سوءاستفاده کنند.
درواقع این آسانترین نوع هک است چون بدون استفاده از هیچ تکنولوژی پیچیده و خاصی به راحتی به پسورد طرف مقابل دسترسی پیدا میکنید. پس از این به بعد هر وقت در جاهای عمومی و یا جاهایی قرار گرفتید که به جز شما افراد دیگری هم حضور دارند حتماٌ حواستان به اطراف باشد تا مبادا کسی به اطلاعات خصوصی شما دست پیدا کرده و شما را به دردسر بیندازد.
سخن پایانی در مورد مبانی هک
در پایان بحث مبانی هک باید به این نکته توجه داشته باشیم که هیچگاه نمیتوان امنیت را به طور صددرصد تضمین کرد. زیرا همیشه افرادی وجود دارند که با توجه به اهدافشان در این زمینه به صورت شبانهروزی فعالیت کرده و روزبهروز راههای جدیدی برای هک کردن پیدا میکنند. تنها کاری که از دست ما برمیآید این است که امنیت را به حداکثر برسانیم، با قرار دادن پسوردهای پیچیده و ترکیبی از حروف بزرگ و کوچک، اعداد، کاراکترها، نشانهها و استفاده از رمزهای یکبارمصرف. برای آموزش بهتر مفاهیم شبکه از آموزش نتورک پلاس +Network فرادرس استفاده کنید تا آمادگی لازم برای اجرای عملیات های مختلف در شبکه را دشته باشید.
در آخر امیدواریم مطالبی که در باب مبانی هک ارائه شده مفید واقع گردد و پس از مطالعه آنها از این پس در انتخاب پسوردها دقت بیشتری به خرج دهیم تا امنیت را به بیشترین مقدار برسانیم. برای دانلود رایگان فیلم آموزشی network+ – مبانی شبکه و معرفی ویدئوهای آموزشی همین الان کلیک کنید. منتظر نظرها و راهکارهای جدید شما عزیزان هستیم.